加密哈希算法SHA-1的喪鐘敲響,目前所有的主流瀏覽器計(jì)劃停止對(duì)其的支持,而這已經(jīng)距離SHA-1漏洞被首次發(fā)現(xiàn)時(shí)的第12個(gè)年頭了。
上周五,Mozilla和微軟同時(shí)宣布將終止對(duì)SHA-1的支持,前者將于明年1月在火狐 Build 51版本,后者將于2月14日在IE11和Edge瀏覽器中停止對(duì)該加密算法的支持,而谷歌2015年就宣布了將在2017年1月1日起放棄SHA-1。
SHA-1中的漏洞允許攻擊者偽造內(nèi)容,實(shí)施釣魚(yú)攻擊或中間人攻擊,但由于用戶的使用習(xí)慣,即便所有的主流瀏覽器都已經(jīng)棄之不用,它還將存在很長(zhǎng)的時(shí)間。
該哈希算法于1993年公布,美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)基于它的前身SHA-0,在壓縮功能上做了改進(jìn),并在美國(guó)政府部門(mén)強(qiáng)制推行,成為了默認(rèn)標(biāo)準(zhǔn)。
2005年,中國(guó)山東大學(xué)的王小云和于紅博,以及普林斯頓大學(xué)的尹依群發(fā)表了一篇論文,對(duì)SHA-1算法實(shí)施碰撞攻擊,復(fù)雜度為2的69次冪,最低可到2的33次冪。結(jié)果雖然令人擔(dān)憂,但即便是2的33次冪也需要很大的運(yùn)算量。不過(guò)隨著技術(shù)的進(jìn)步,計(jì)算能力的激增,尤其是虛擬化技術(shù)的出現(xiàn),任何人都能破解SHA-1的時(shí)代已經(jīng)臨近。
2012年,NIST推薦政府用戶升級(jí)到SHA-2算法,但遭到很多人的怠慢,即便在軍隊(duì)也是如此。2015年,來(lái)自法國(guó)、荷蘭、新加坡的三位科學(xué)家發(fā)表了一篇被稱為“The ShAppening”的論文,只需價(jià)值7.5萬(wàn)美元的計(jì)算能力就可以破解SHA-1。這篇論文,最終觸動(dòng)整個(gè)業(yè)界開(kāi)始設(shè)置新的安全加密通信標(biāo)準(zhǔn)。
再見(jiàn)吧,SHA-1!